我有一个相当大的Pcap文件。我只想读取此文件中的一个数据包,例如第10个数据包。
我有一个像这样的tshark命令:
tshark -r myfile.pcap frame.number == 10 -V
即使找到第10个数据包,该命令也会继续搜索整个文件。这需要很长时间。
我更喜欢在找到数据包时停止命令,我该怎么做?
感谢您的任何建议。
答案 0 :(得分:0)
editcap(wireshark包的一部分)可用于从pcap文件中提取一个或多个特定帧到新的pcap文件。
然后,您可以在新文件上运行tshark。 (这是一个两步过程,但对于大型pcap文件,它将花费比tshark读取整个文件所花费的时间更少的时间。)
Usage: editcap [options] ... <infile> <outfile> [ <packet#>[-<packet#>] ... ]
Packet selection:
-r keep the selected packets; default is to delete them.
有关editcap -h选项的完整列表,请参阅editcap。